Le 2 août 2026, l'AI Act européen impose des obligations concrètes aux entreprises qui utilisent des systèmes IA dans des processus sensibles. Si vous utilisez un outil IA pour recruter, scorer vos clients ou évaluer vos équipes, vous avez exactement 69 jours pour vous mettre en règle — sans nécessairement dépenser un euro.
Selon le Panorama Bpifrance IA 2026, 68 % des PME françaises de moins de 250 salariés n'ont pas encore fait l'inventaire de leurs usages IA. La plupart n'ont aucun plan d'action pour l'échéance d'août 2026.
Ce guide est pour les PME déployeuses — celles qui utilisent des outils IA tiers dans leurs processus — avec un plan d'action en 5 étapes illustré par un cas fictif.
À retenir — Key Takeaways
- Échéance : 2 août 2026 pour les systèmes IA à haut risque — 68 % des PME françaises non préparées (Bpifrance 2026)
- Votre rôle probable : déployeur (vous utilisez un outil IA tiers) → obligations allégées : supervision humaine, registre d'utilisation, formation des opérateurs
- Haut risque : recrutement IA (Workable, HireVue), scoring crédit, évaluation salariés par score automatisé
- Risque limité : chatbots, outils de synthèse → une mention "traitement automatisé" visible suffit
- Coût de conformité : 0 € de logiciel pour une PME déployeuse standard — 8h de travail interne réparties sur 3 semaines
- Prochaine échéance : 2 août 2027 pour les produits à haut risque Annexe I (machines, dispositifs médicaux)
Ce que l'AI Act change vraiment pour les entreprises françaises
Le Règlement UE 2024/1689 est entré en vigueur progressivement depuis le 1er août 2024. Trois dates structurent le calendrier.
Février 2025 — Interdiction des pratiques IA prohibées : scoring social à la chinoise, manipulation psychologique, reconnaissance biométrique non consentie. Applicable depuis 6 mois — si votre PME opère dans ces zones, il y a urgence immédiate, pas en août.
2 août 2026 — Obligations pour les systèmes IA à haut risque et les modèles IA à usage général (GPAI). C'est l'échéance qui concerne la majorité des PME françaises utilisant des outils RH, de scoring ou d'évaluation.
2 août 2027 — Application complète pour certains produits à haut risque listés en Annexe I (machines, dispositifs médicaux). Hors scope pour la plupart des PME de services.
Fournisseur, déployeur ou utilisateur final : où se situe votre PME ?
L'AI Act distingue trois rôles avec des obligations très différentes.
Fournisseur : vous développez ou commercialisez un système IA. Obligations maximales — marquage CE, documentation technique complète, enregistrement dans la base de données EU.
Déployeur : vous intégrez un système IA tiers dans vos processus métier. C'est le cas de la majorité des PME françaises. Obligations allégées mais réelles : supervision humaine, registre d'utilisation, formation des opérateurs.
Utilisateur final simple : vos salariés utilisent ChatGPT pour rédiger des emails, générer des résumés. Obligations minimales — aucune formalité spécifique tant que l'output IA n'entre pas dans une décision affectant des tiers.
Identifier votre rôle est la première décision à prendre — elle conditionne toute la suite.
Les 4 niveaux de risque : êtes-vous dans le haut risque ?
| Catégorie | Exemples concrets | Obligation PME déployeuse |
|---|---|---|
| Interdit | Scoring social, manipulation psychologique, biométrie non consentie | Arrêt immédiat — applicable depuis février 2025 |
| Haut risque | Recrutement IA, scoring crédit, évaluation salariés, accès infrastructure critique | Conformité obligatoire avant le 2/08/2026 |
| Risque limité | Chatbots, générateurs de texte, outils de synthèse | Mention visible "traitement automatisé" pour l'utilisateur final |
| Risque minimal | Filtres antispam, recommandations de contenu, correcteurs orthographiques | Aucune obligation spécifique |
Comment savoir si votre outil est classé haut risque
Vous êtes en zone haut risque si votre PME utilise un outil IA pour au moins l'un de ces usages :
Le test rapide : si votre outil IA produit un score, une note ou un ranking qui influence directement une décision sur une personne — vous êtes en haut risque.
Si vous utilisez Workable, BambooHR, HireVue, ou tout outil de matching CV automatique : demandez par écrit à votre prestataire si leur système est classé haut risque au sens de l'AI Act. Leur réponse (ou leur silence) vous dira tout.
Cas fictif : mise en conformité complète en 3 semaines — coût réel 0 €
Voici comment une PME e-commerce type de 45 salariés pourrait aborder sa mise en conformité AI Act.
Situation initiale :
Semaine 1 — Inventaire et identification (2h de travail)
L'équipe a listé tous les outils IA actifs en 2 heures sur un Google Sheets : nom de l'outil, fournisseur, usage métier, données personnelles traitées, volume mensuel estimé.
Le module scoring crédit a été immédiatement identifié comme système haut risque. Un email écrit (pour créer une trace) a été envoyé au fournisseur pour demander la documentation technique et la notice d'utilisation — obligatoire pour tout fournisseur d'un système IA haut risque à destination de déployeurs UE.
Semaine 2 — Documentation et ajustements (1h + réponse prestataire)
La documentation est arrivée en 5 jours ouvrés. Deux actions parallèles :
Une mention "traitement automatisé" a été ajoutée dans les CGU pour le chatbot SAV (30 minutes de développement). Le DAF a été désigné comme responsable IA interne — aucun recrutement, aucun coût, juste une formalité interne documentée par email.
Semaine 3 — Registre et procédure (1h)
Création du registre d'utilisation IA (Google Sheets, 5 colonnes : nom de l'outil, usage métier, date de déploiement, date de désactivation éventuelle, responsable interne). Formation du DAF sur le module scoring crédit : 30 minutes, fournie gratuitement par le prestataire.
Procédure interne établie : le DAF valide manuellement toutes les décisions supérieures à 5 000 euros générées par le module de scoring. Cette validation humaine est précisément ce qu'exige l'AI Act pour les systèmes haut risque.
Résultat : PME conforme pour l'échéance du 2 août 2026. Coût total : 0 euro de logiciel ou de prestataire externe, 8 heures de travail interne réparties sur 3 semaines.
Neuraweb propose un audit de conformité AI Act gratuit pour les PME françaises — bilan de vos risques et plan d'action en 48h. Demandez un audit →
Le plan d'action en 5 étapes : à compléter avant le 2 août 2026
Étape 1 — Inventorier tous vos outils IA (2h)
Listez sur un Google Sheets tout ce qui intègre de l'IA dans votre entreprise : nom de l'outil, fournisseur, usage métier exact, données personnelles traitées (salariés, clients, candidats), volume mensuel estimé.
N'oubliez pas les outils intégrés dans vos SaaS existants — les modules IA de HubSpot, Salesforce, Zendesk ou votre ERP entrent dans le périmètre s'ils traitent des données personnelles dans un processus décisionnel.
Étape 2 — Classifier le risque de chaque outil (1h)
Pour chaque outil de la liste, posez-vous une seule question : ce système produit-il des scores, classements ou décisions qui affectent directement des personnes physiques ?
Si oui → classez en haut risque provisoire et passez à l'étape 3.
Si non → identifiez s'il y a une interaction directe avec des utilisateurs finaux (risque limité, mention obligatoire) ou aucune (risque minimal, aucune action).
Étape 3 — Demander la documentation au fournisseur (1 email, délai 5 à 10 jours)
Envoyez un email écrit à chaque fournisseur d'un système classé haut risque. Demandez explicitement :
L'email écrit crée une trace — indispensable en cas de contrôle. Si le fournisseur refuse ou ne peut pas fournir cette documentation : c'est un signal d'alerte sérieux. Un fournisseur conforme est tenu légalement de la mettre à disposition. Changez d'outil si nécessaire.
Étape 4 — Mettre en place la supervision humaine (2h)
L'AI Act exige qu'un humain qualifié supervise et puisse contester les décisions des systèmes haut risque. Trois actions concrètes :
Désignez un responsable IA interne (existant dans votre équipe, pas de recrutement nécessaire). Formez-le sur le fonctionnement de l'outil — votre prestataire est tenu de proposer cette formation. Documentez la procédure : qui valide quoi, dans quel délai, avec quelle traçabilité.
La procédure de supervision est la pièce maîtresse de votre dossier de conformité.
Étape 5 — Créer et maintenir le registre d'utilisation (1h de création, 15 min/mois)
Les déployeurs de systèmes haut risque doivent tenir un registre d'utilisation. Cinq colonnes suffisent :
Ce registre est votre preuve de conformité. Mettez-le à jour à chaque nouvel outil IA déployé ou retiré.
Répartition des responsabilités : vous et votre fournisseur SaaS
C'est la zone de flou la plus fréquente en PME : "notre prestataire SaaS gère la conformité pour nous, non ?"
Partiellement. Le fournisseur SaaS est responsable de la conformité de son système — documentation technique, marquage CE, enregistrement EU. Vous, en tant que déployeur, restez responsable de :
Cette répartition doit être clarifiée par avenant contractuel avec votre fournisseur avant août 2026. Si votre contrat actuel ne mentionne pas l'AI Act : envoyez un email pour demander explicitement la clarification des responsabilités respectives. La réponse (ou l'absence de réponse) est informative.
Ce que les PME doivent faire selon leur situation
Vous n'utilisez aucun outil IA dans des processus RH, crédit ou évaluation — risque minimal. Faites quand même l'inventaire en 2 heures : vous serez tranquille pour 12 mois et prêt pour les contrôles éventuels.
Vous utilisez un outil de recrutement ou d'évaluation avec scoring automatisé — priorité immédiate. Commencez par l'email à votre fournisseur cette semaine. Les délais de réponse et de documentation peuvent prendre 2 à 3 semaines.
Vous développez vous-même une fonctionnalité IA pour vos clients — vous êtes fournisseur, pas seulement déployeur. Les obligations sont nettement plus lourdes : documentation technique complète, analyse de conformité, potentiellement marquage CE. Consultez un juriste spécialisé IA.
Vous opérez dans la santé, la finance ou les infrastructures — des obligations sectorielles supplémentaires s'appliquent au-delà de l'AI Act. Une analyse spécifique par un conseil spécialisé est recommandée avant août 2026.
---
Pour aller plus loin
Neuraweb réalise votre audit AI Act gratuitement — bilan de vos risques, plan d'action en 48h et accompagnement à la mise en conformité. Demander l'audit →
FAQ
Les PME françaises sont-elles concernées par l’AI Act ?
Oui, dès lors qu’elles déploient ou utilisent un système IA qui affecte des personnes — recrutement automatisé, scoring crédit, évaluation de salariés. La majorité des PME sont ’déployeuses’ : elles utilisent des outils IA tiers et ont des obligations allégées mais réelles, notamment la supervision humaine et la tenue d’un registre d’utilisation.
Qu’est-ce qu’un système IA à haut risque selon l’AI Act ?
Un système IA est classé haut risque s’il prend des décisions qui affectent directement des personnes dans des domaines sensibles : recrutement et sélection de candidats, évaluation des performances des salariés, octroi de crédit ou d’assurance, accès à des services publics, gestion d’infrastructures critiques. Des outils comme Workable, HireVue ou les modules de scoring crédit intégrés aux e-commerces entrent dans cette catégorie.
Que risque une PME non conforme au 2 août 2026 ?
Les sanctions prévues par l’AI Act pour les déployeurs vont jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial annuel pour les manquements aux obligations des systèmes à haut risque. Pour les PME, la CNIL et les autorités nationales compétentes disposeront d’un pouvoir d’enquête et de mise en demeure. Le risque immédiat est davantage réputationnel et contractuel — notamment si un fournisseur SaaS exige une attestation de conformité déployeur.
Doit-on se faire auditer par un organisme externe pour être conforme ?
Non, pas pour les déployeurs. La conformité passe par la documentation interne, la supervision humaine et la tenue du registre d’utilisation. Une certification externe n’est pas obligatoire sauf pour certains secteurs réglementés (santé, finance, infrastructures critiques) où des obligations sectorielles supplémentaires s’appliquent.
On utilise seulement ChatGPT pour rédiger des emails — sommes-nous concernés ?
Non, si vos collaborateurs l’utilisent pour des tâches internes sans que l’output IA intervienne dans des décisions affectant des tiers. En revanche, si ChatGPT ou un outil similaire intervient dans votre processus de recrutement, d’évaluation des salariés ou de scoring clients, vous entrez en zone haut risque et les obligations s’appliquent.